一种基于枢纽电厂工控系统的组态式安全防护体系的制作方法

1.本发明涉及火电厂工控系统的安全防护技术领域，尤其涉及一种基于枢纽电厂工控系统的组态式安全防护体系。


背景技术：

2.在火电厂传统安全防护体系中，缺乏对工业控制网络用户操作、工控网络行为、指令下发的审计措施，导致安全事故分析取证困难。另外，部分工业控制网络不具备审计功能，部分有日志审计功能但系统的性能要求决定了它不能开启审计功能。
3.此外，现有对于工控系统防御的方案众多，但是都针对常规工控系统，实施常规的防护手段。对于火电厂辅控系统来说具有其独特的特点，在安全防护方面有其独特的需求，但是一直以来对于防护方案没有一个统一的标准，本发明提供一种健全的安全防护技术及方案，为辅控系统提供全面的安全防护。
4.因此需要根据系统独特的通信需求以及可能产生的安全漏洞，进行针对性安全加固，对于当下攻击手段形成有效的防御，形成一种新的基于枢纽电厂工控系统的组态式安全防护体系，实现防范高强度攻击和apt攻击的火电厂工业网络安全防护系统，完善电厂工控安全防护能力体系建设。


技术实现要素：

5.为了解决现有技术中存在的问题，本发明提供了如下技术方案，根据国内外网络攻防技术和标准的新动向，结合工控系统特点、工程实践和用户体验，平衡工控系统安全合规性与实用性的关系，针对工业控制网络流量的工控安全监测与审计平台，以加强和提升工业控制网络的安全审计防护能力，实现对工业控制网络的异常行为、协议攻击、关键事件等进行实时检测告警，及时发现内部违规事件，为安全事件事后调查取证提供详实的记录。
6.本发明一方面提供了一种基于枢纽电厂工控系统的组态式安全防护体系，包括：
7.dcs系统安全防护子体系，ncs系统安全防护子体系，辅控系统安全防护子体系，电量计费系统安全防护子体系，化学制水、外输灰及净水厂系统安全防护子体系以及生产控制大区安全态势感知子体系；
8.其中每个所述子体系均包括：
9.通讯网络安全防护子系统，用于保证工控系统通信过程和通信数据的安全；
10.安全区域边界安全防护子系统，用于内部和外部网络行为进行检查或限制，对网络攻击行为进行检测、防止和限制，对网络行为进行分析，对攻击信息进行记录和报警，进行安全审计以及对边界设备进行可信验证；
11.安全计算环境安全防护子系统，用于对用户进行身份鉴别，定期备份审计记录，对重要节点的入侵行为以及病毒进行检测识别和报警，对应用程序的执行环节进行动态可信验证，对数据传输和存储完整性进行校验以及异地的实时备份；以及
12.安全管理中心，用于系统管理员通过命令或操作界面进行系统管理操作并对操作
记录进行审计，审计管理员通过命令或操作界面进行安全审计操作并对操作记录进行审计；设置特定管理区域以及安全信息传输路径，从而对分布在网络中的安全设备或安全组件进行管控；对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测；对设备的审计数据进行汇总和分析，管理安全策略、恶意代码以及补丁升级，对网络中的安全事件进行检测识别和报警。
13.优选的，所述dcs系统安全防护子体系包括：
14.dcs系统工控安全监测与审计设备，部署在各个机组dcs系统，用于实现网络流量的审计和异常行为告警；
15.dcs系统工控主机卫士，部署在各个机组dcs系统的工控主机、服务器、接口机等设备上，实现恶意代码的防护，外设端口的管控；
16.dcs系统网络威胁感知系统，部署在dcs系统生产控制大区的网络边界，实现异常检测、入侵行为的检测特别是新型网络攻击进行分析；
17.dcs系统安全运维管理系统，部署在dcs系统安全管理区内，实现生产控制大区用户操作行为的身份鉴别、访问控制和安全审计。
18.dcs系统统一安全管理系统，部署在dcs系统安全管理区内，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本；
19.dcs系统日志审计与分析系统，部署在dcs系统安全管理区内，实现生产控制大区网络设备、安全设备、服务器、操作员站、数据库系统的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
20.dcs系统漏洞扫描系统，部署在dcs系统安全管理区内，对现有设备进行漏洞扫描掌控，对新入网设备进行提前扫描排除漏洞后入网，减少入网风险；
21.dcs系统网络安全准入系统，部署在dcs系统安全管理区内，对非授权设备私自联到内部网络的行为进行检查或限制；对需要接入网络的设备进行安全性检查，检查通过后允许接入内部网络；
22.dcs系统工业防火墙，安全管理区由dcs系统工业防火墙来进行边界隔离措施，且机组间用dcs系统工业防火墙来进行边界隔离，强化安全边界访问控制能力，禁止非法的连接请求。
23.优选的，所述ncs系统安全防护子体系包括：
24.ncs系统工控安全监测与审计设备，实现网络流量的审计和异常行为告警；
25.ncs系统工控主机卫士，部署在ncs系统的工控主机、服务器、接口机等设备，实现恶意代码的防护，外设端口的管控；
26.ncs系统入侵检测系统，部署在ncs系统生产控制大区的网络边界，实现异常检测、入侵行为的检测；
27.ncs系统安全运维管理系统，部署在ncs系统安全管理区内，实现生产控制大区用户操作行为的身份鉴别、访问控制和安全审计；
28.ncs系统统一安全管理系统，部署在ncs系统安全管理区内，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本；
29.ncs系统日志审计与分析系统，部署在ncs系统安全管理区内，实现生产控制大区网络设备、安全设备、服务器、操作员站、数据库系统的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
30.ncs系统网络安全准入系统，部署在ncs系统安全管理区内，对非授权设备私自联到内部网络的行为进行检查或限制；对需要接入网络的设备进行安全性检查，检查通过后允许接入内部网络；
31.ncs系统工业防火墙，部署在调度数据网原有纵向加密装置的基础上与ncs系统间，进行边界隔离，强化安全边界访问控制能力，禁止非法的连接请求，以保障调度数据网的数据交互安全。
32.优选的，所述辅控系统安全防护子体系包括：
33.辅控系统工控安全监测与审计设备，实现网络流量的审计和异常行为告警；
34.辅控系统工控主机卫士，部署在工控主机、服务器、接口机等设备，实现恶意代码的防护，外设端口的管控；
35.辅控系统入侵检测系统，部署在生产控制大区的网络边界部署，实现异常检测、入侵行为的检测；
36.辅控系统安全运维管理系统，部署在安全管理中心内，实现生产控制大区用户操作行为的身份鉴别、访问控制和安全审计；
37.辅控系统统一安全管理系统，部署在安全管理中心内，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本；
38.辅控系统日志审计与分析系统，部署在安全管理中心内，实现生产控制大区网络设备、安全设备、服务器、操作员站、数据库系统的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
39.辅控系统网络安全准入系统，部署在系统安全管理中心内，对非授权设备私自联到内部网络的行为进行检查或限制；对需要接入网络的设备进行安全性检查，检查通过后允许接入内部网络；
40.辅控系统工业防火墙，安全管理区由辅控系统工业防火墙来进行边界隔离措施，各个辅控系统间部署辅控系统工业防火墙，实现边界隔离，强化安全边界访问控制能力，禁止非法的连接请求。
41.优选的，所述电量计费系统安全防护子体系包括：
42.电量计费系统工控安全监测与审计设备，部署在电量计费系统，实现网络流量的审计和异常行为告警；
43.电量计费系统入侵检测系统，部署在电量计费系统边界节点，实现网络流量的审计、异常行为告警和网络入侵行为。
44.电量计费系统网络准入控制系统，部署在电量计费系统的网络，对非授权设备私自联到内部网络的行为进行检查或限制；对需要接入网络的设备进行安全性检查，检查通过后允许接入内部网络；
45.电量计费系统日志审计与分析系统，部署在电量计费系统部署，实现网络设备、安全设备、服务器、操作员站的日志收集与分析，对安全事件进行监控统计、高速查询以及关
联分析；
46.电量计费系统工控主机卫士，部署在电量计费系统的工控主机、服务器、接口机等设备，实现恶意代码的防护，操作系统安全加固以及外设端口的管控；
47.电量计费系统运维管理系统，部署在电量计费系统，实现用户操作行为的身份鉴别、访问控制和安全审计；
48.电量计费系统统一管理系统，部署在电量计费系统，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本；
49.电量计费系统工业防火墙，部署在调度数据网原有纵向加密装置的基础上与电量计费系统间，进行边界隔离，强化安全边界访问控制能力，禁止非法的连接请求，以保障调度数据网的数据交互安全。
50.优选的，所述化学制水、外输灰及净水厂系统安全防护子体系包括：
51.水厂系统工控安全监测与审计设备，部署在化学制水、外输灰、精水3套系统，实现网络流量的审计和异常行为告警；
52.水厂系统日志审计与分析系统，部署在化学制水、外输灰、精水3套系统，实现网络设备、安全设备、服务器、操作员站的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
53.水厂系统工控主机卫士，部署在化学制水、外输灰、精水3套系统的工控主机、服务器、接口机等设备，实现恶意代码的防护，操作系统安全加固以及外设端口的管控；
54.水厂系统安全运维管理系统，部署在化学制水、外输灰、精水3套系统，实现用户操作行为的身份鉴别、访问控制和安全审计；
55.水厂系统统一安全管理系统，部署在化学制水、外输灰、精水3套系统，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本。
56.优选的，所述生产控制大区安全态势感知子体系包括：
57.生产控制大区工业防火墙，部署在电力监控系统区域内部关键业务通信网络边界，对重要业务系统的通信访问实现逻辑控制和防护；
58.生产控制大区监测与审计设备和网络威胁感知系统，部署在电力监控系统关键网络节点及网络边界处，实现网络流量的审计、异常行为告警和网络攻击特别是新型网络攻击进行分析；
59.生产控制大区日志审计与分析系统，部署在电力监控系统，实现网络设备、安全设备、服务器、操作员站、数据库系统的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
60.生产控制大区工控主机卫士，部署在电力监控系统的工控主机、服务器、接口机等设备，实现恶意代码的防护，操作系统安全加固以及外设端口的管控；
61.生产控制大区运维管理系统，部署在电力监控系统，实现用户操作行为的身份鉴别、访问控制和安全审计；
62.生产控制大区统一管理系统，部署在电力监控系统，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降
低运行维护成本；
63.生产控制大区工控漏洞扫描平台，部署在电力监控系统，选择合适的时间节点对现有设备进行漏洞扫描掌控，对新入网设备进行提前扫描排除漏洞后入网，减少入网风险。
64.本发明的第二方面，提供一种基于枢纽电厂工控系统的组态式安全防护方法，包括：
65.通讯网络安全防护，实施工控系统通信过程和通信数据的安全保证；
66.安全区域边界安全防护，对内部和外部网络行为进行检查或限制，对网络攻击行为进行检测、防止和限制，对网络行为进行分析，对攻击信息进行记录和报警，进行安全审计以及对边界设备进行可信验证；
67.安全计算环境安全防护，对用户进行身份鉴别，定期备份审计记录，对重要节点的入侵行为以及病毒进行检测识别和报警，对应用程序的执行环节进行动态可信验证，对数据传输和存储完整性进行校验以及异地的实时备份；以及
68.增设安全管理中心，使得系统管理员通过命令或操作界面进行系统管理操作并对操作记录进行审计，审计管理员通过命令或操作界面进行安全审计操作并对操作记录进行审计；设置特定管理区域以及安全信息传输路径，从而对分布在网络中的安全设备或安全组件进行管控；对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测；对设备的审计数据进行汇总和分析，管理安全策略、恶意代码以及补丁升级，对网络中的安全事件进行检测识别和报警。
69.本发明的第三方面提供一种电子设备，包括处理器和存储器，所述存储器存储有多条指令，所述处理器用于读取所述指令并执行如第二方面所述的方法。
70.本发明的第四方面提供一种计算机可读存储介质，所述计算机可读存储介质存储有多条指令，所述多条指令可被处理器读取并执行如第二方面所述的方法。
71.本发明具有如下有益效果：
72.本发明根据电力监控系统网络的安全现状并结合工控系统运行环境相对稳定，系统更新频率较低的特点，结合gb/t 22239-2019《信息安全技术网络安全等级保护基本要求》，采用基于“白名单”机制的工业控制系统网络安全“白环境”解决方案，通过对工控网络流量、工控主机状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，进而构筑工业控制系统的网络安全“白环境”，确保：
73.(1)只有可信任的设备，才允许接入工控网络；
74.(2)只有可信任的消息，才允许在工控网络上传输；
75.(3)只有可信任的软件，才允许被执行。
76.对工控系统网络安全防护措施升级，使工控系统具备实时监测网络安全运行状态、抵御恶意攻击行为、记录系统网络行为等功能，提升工控系统的安全防护能力，保障工控系统的安全稳定运行。同时，各项安全防护措施满足国家及行业的各项政策法规要求，实现工控系统的合法合规的运行。
附图说明
77.图1为根据本发明提供的dcs系统安全防护子体系架构网络结构图。
78.图2为根据本发明提供的ncs系统安全防护子体系架构网络结构图。
79.图3为根据本发明提供的辅控系统安全防护子体系架构网络结构图。
80.图4为根据本发明提供的电量计费系统安全防护子体系架构网络结构图。
81.图5为根据本发明提供的化学制水、外输灰及净水厂系统安全防护子体系架构网络结构图。
82.图6为根据本发明提供的生产控制大区安全态势感知子体系架构网络结构图。
83.图7为本发明提供的电子设备结构示意图。
具体实施方式
84.为了更好的理解上述技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案做详细的说明。
85.本发明提供的方法可以在如下的终端环境中实施，该终端可以包括一个或多个如下部件：处理器、存储器和显示屏。其中，存储器中存储有至少一条指令，所述指令由处理器加载并执行以实现下述实施例所述的方法。
86.处理器可以包括一个或者多个处理核心。处理器利用各种接口和线路连接整个终端内的各个部分，通过运行或执行存储在存储器内的指令、程序、代码集或指令集，以及调用存储在存储器内的数据，执行终端的各种功能和处理数据。
87.存储器可以包括随机存储器(random access memory，ram)，也可以包括只读存储器(read-only memory，rom)。存储器可用于存储指令、程序、代码、代码集或指令。
88.显示屏用于显示各个应用程序的用户界面。
89.除此之外，本领域技术人员可以理解，上述终端的结构并不构成对终端的限定，终端可以包括更多或更少的部件，或者组合某些部件，或者不同的部件布置。比如，终端中还包括射频电路、输入单元、传感器、音频电路、电源等部件，在此不再赘述。
90.本实施例工控系统安全建设依据“安全分区、纵深防护、统一监控”的原则进行建设：
[0091]“安全分区”：根据电力监控系统安全分区的原则，将电力监控系统划分为生产控制大区和管理信息大区，同时生产控制大区又划分安全i区和安全ii区，针对安全i区和安全ii区内不同的业务系统再单独划分安全区。根据划分的安全区、安全域制定区间、域间防护措施：
[0092]“纵深防护”：结合安全区、安全域划分结果，在制定区域边界防护访问控制措施的同时，也要在安全区、安全域内部进行异常行为、恶意代码、已知和未知攻击的检测和防护措施；作为工控系统最重要的资产，工控主机也应该进行安全加固及安全防护；
[0093]“统一监控”：针对各安全区、安全域的防护措施、检测及审计措施建立统一的、分级的监控系统。最终将电力监控系统安全风险进行集中的展示，以风险等级的方式给出电力监控系统中各业务系统的安全风险级别，全面了解并掌握系统动态。
[0094]
需要结合现场实际情况解决的等级保护高风险项如下：
[0095]
1、强化安全区域边界访问控制能力；
[0096]
2、提高网络内、外入侵和恶意代码防御能力；
[0097]
3、提高违规内联、外联检测能力；
[0098]
4、提高系统内主机病毒防范能力；
[0099]
5、提高主机身份认证能力，采用双因子认证机制；
[0100]
6、一键式安全加固，提高主机安全基线；
[0101]
7、关闭不必要的服务端口，提高入侵防范能力；
[0102]
8、利用访问控制策略，保证业务配置文件不被篡改；
[0103]
9、提高日志审计能力，审计日志至少保存6个月；
[0104]
10、加强运维人员行为管理；
[0105]
11、建立统一安全管理中心，强化集中管控能力；
[0106]
12、技术手段辅助业主完成定期自检。
[0107]
本实施例提供了一种基于枢纽电厂工控系统的组态式安全防护体系，包括：
[0108]
dcs系统安全防护子体系，ncs系统安全防护子体系，辅控系统安全防护子体系，电量计费系统安全防护子体系，化学制水、外输灰及净水厂系统安全防护子体系以及生产控制大区安全态势感知子体系；
[0109]
其中每个所述子体系均包括：
[0110]
通讯网络安全防护子系统，用于保证工控系统通信过程和通信数据的安全；
[0111]
安全区域边界安全防护子系统，用于内部和外部网络行为进行检查或限制，对网络攻击行为进行检测、防止和限制，对网络行为进行分析，对攻击信息进行记录和报警，进行安全审计以及对边界设备进行可信验证；
[0112]
安全计算环境安全防护子系统，用于对用户进行身份鉴别，定期备份审计记录，对重要节点的入侵行为以及病毒进行检测识别和报警，对应用程序的执行环节进行动态可信验证，对数据传输和存储完整性进行校验以及异地的实时备份；以及
[0113]
安全管理中心，用于系统管理员通过命令或操作界面进行系统管理操作并对操作记录进行审计，审计管理员通过命令或操作界面进行安全审计操作并对操作记录进行审计；设置特定管理区域以及安全信息传输路径，从而对分布在网络中的安全设备或安全组件进行管控；对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测；对设备的审计数据进行汇总和分析，管理安全策略、恶意代码以及补丁升级，对网络中的安全事件进行检测识别和报警。
[0114]
如图1所示，作为优选的实施方式，所述dcs系统安全防护子体系包括：
[0115]
dcs系统工控安全监测与审计设备，部署在各个机组dcs系统，用于实现网络流量的审计和异常行为告警；
[0116]
dcs系统工控主机卫士，部署在各个机组dcs系统的工控主机、服务器、接口机等设备上，实现恶意代码的防护，外设端口的管控；
[0117]
dcs系统网络威胁感知系统，部署在dcs系统生产控制大区的网络边界，实现异常检测、入侵行为的检测特别是新型网络攻击进行分析；
[0118]
dcs系统安全运维管理系统，部署在dcs系统安全管理区内，实现生产控制大区用户操作行为的身份鉴别、访问控制和安全审计。
[0119]
dcs系统统一安全管理系统，部署在dcs系统安全管理区内，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本；
[0120]
dcs系统日志审计与分析系统，部署在dcs系统安全管理区内，实现生产控制大区网络设备、安全设备、服务器、操作员站、数据库系统的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
[0121]
dcs系统漏洞扫描系统，部署在dcs系统安全管理区内，对现有设备进行漏洞扫描掌控，对新入网设备进行提前扫描排除漏洞后入网，减少入网风险；
[0122]
dcs系统网络安全准入系统，部署在dcs系统安全管理区内，对非授权设备私自联到内部网络的行为进行检查或限制；对需要接入网络的设备进行安全性检查，检查通过后允许接入内部网络；
[0123]
dcs系统工业防火墙，安全管理区由dcs系统工业防火墙来进行边界隔离措施，且机组间用dcs系统工业防火墙来进行边界隔离，强化安全边界访问控制能力，禁止非法的连接请求。
[0124]
如图2所示，作为优选的实施方式，所述ncs系统安全防护子体系包括：
[0125]
ncs系统工控安全监测与审计设备，实现网络流量的审计和异常行为告警；
[0126]
ncs系统工控主机卫士，部署在ncs系统的工控主机、服务器、接口机等设备，实现恶意代码的防护，外设端口的管控；
[0127]
ncs系统入侵检测系统，部署在ncs系统生产控制大区的网络边界，实现异常检测、入侵行为的检测；
[0128]
ncs系统安全运维管理系统，部署在ncs系统安全管理区内，实现生产控制大区用户操作行为的身份鉴别、访问控制和安全审计；
[0129]
ncs系统统一安全管理系统，部署在ncs系统安全管理区内，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本；
[0130]
ncs系统日志审计与分析系统，部署在ncs系统安全管理区内，实现生产控制大区网络设备、安全设备、服务器、操作员站、数据库系统的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
[0131]
ncs系统网络安全准入系统，部署在ncs系统安全管理区内，对非授权设备私自联到内部网络的行为进行检查或限制；对需要接入网络的设备进行安全性检查，检查通过后允许接入内部网络；
[0132]
ncs系统工业防火墙，部署在调度数据网原有纵向加密装置的基础上与ncs系统间，进行边界隔离，强化安全边界访问控制能力，禁止非法的连接请求，以保障调度数据网的数据交互安全。
[0133]
如图3所示，作为优选的实施方式，所述辅控系统安全防护子体系包括：
[0134]
辅控系统工控安全监测与审计设备，实现网络流量的审计和异常行为告警；
[0135]
辅控系统工控主机卫士，部署在工控主机、服务器、接口机等设备，实现恶意代码的防护，外设端口的管控；
[0136]
辅控系统入侵检测系统，部署在生产控制大区的网络边界部署，实现异常检测、入侵行为的检测；
[0137]
辅控系统安全运维管理系统，部署在安全管理中心内，实现生产控制大区用户操作行为的身份鉴别、访问控制和安全审计；
[0138]
辅控系统统一安全管理系统，部署在安全管理中心内，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本；
[0139]
辅控系统日志审计与分析系统，部署在安全管理中心内，实现生产控制大区网络设备、安全设备、服务器、操作员站、数据库系统的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
[0140]
辅控系统网络安全准入系统，部署在系统安全管理中心内，对非授权设备私自联到内部网络的行为进行检查或限制；对需要接入网络的设备进行安全性检查，检查通过后允许接入内部网络；
[0141]
辅控系统工业防火墙，安全管理区由辅控系统工业防火墙来进行边界隔离措施，各个辅控系统间部署辅控系统工业防火墙，实现边界隔离，强化安全边界访问控制能力，禁止非法的连接请求。
[0142]
如图4所示，作为优选的实施方式，所述电量计费系统安全防护子体系包括：
[0143]
电量计费系统工控安全监测与审计设备，部署在电量计费系统，实现网络流量的审计和异常行为告警；
[0144]
电量计费系统入侵检测系统，部署在电量计费系统边界节点，实现网络流量的审计、异常行为告警和网络入侵行为。
[0145]
电量计费系统网络准入控制系统，部署在电量计费系统的网络，对非授权设备私自联到内部网络的行为进行检查或限制；对需要接入网络的设备进行安全性检查，检查通过后允许接入内部网络；
[0146]
电量计费系统日志审计与分析系统，部署在电量计费系统部署，实现网络设备、安全设备、服务器、操作员站的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
[0147]
电量计费系统工控主机卫士，部署在电量计费系统的工控主机、服务器、接口机等设备，实现恶意代码的防护，操作系统安全加固以及外设端口的管控；
[0148]
电量计费系统运维管理系统，部署在电量计费系统，实现用户操作行为的身份鉴别、访问控制和安全审计；
[0149]
电量计费系统统一管理系统，部署在电量计费系统，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本；
[0150]
电量计费系统工业防火墙，部署在调度数据网原有纵向加密装置的基础上与电量计费系统间，进行边界隔离，强化安全边界访问控制能力，禁止非法的连接请求，以保障调度数据网的数据交互安全。
[0151]
如图5所示，作为优选的实施方式，所述化学制水、外输灰及净水厂系统安全防护子体系包括：
[0152]
水厂系统工控安全监测与审计设备，部署在化学制水、外输灰、精水3套系统，实现网络流量的审计和异常行为告警；
[0153]
水厂系统日志审计与分析系统，部署在化学制水、外输灰、精水3套系统，实现网络设备、安全设备、服务器、操作员站的日志收集与分析，对安全事件进行监控统计、高速查询
以及关联分析；
[0154]
水厂系统工控主机卫士，部署在化学制水、外输灰、精水3套系统的工控主机、服务器、接口机等设备，实现恶意代码的防护，操作系统安全加固以及外设端口的管控；
[0155]
水厂系统安全运维管理系统，部署在化学制水、外输灰、精水3套系统，实现用户操作行为的身份鉴别、访问控制和安全审计；
[0156]
水厂系统统一安全管理系统，部署在化学制水、外输灰、精水3套系统，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本。
[0157]
如图6所示，作为优选的实施方式，所述生产控制大区安全态势感知子体系包括：
[0158]
生产控制大区工业防火墙，部署在电力监控系统区域内部关键业务通信网络边界，对重要业务系统的通信访问实现逻辑控制和防护；
[0159]
生产控制大区监测与审计设备和网络威胁感知系统，部署在电力监控系统关键网络节点及网络边界处，实现网络流量的审计、异常行为告警和网络攻击特别是新型网络攻击进行分析；
[0160]
生产控制大区日志审计与分析系统，部署在电力监控系统，实现网络设备、安全设备、服务器、操作员站、数据库系统的日志收集与分析，对安全事件进行监控统计、高速查询以及关联分析；
[0161]
生产控制大区工控主机卫士，部署在电力监控系统的工控主机、服务器、接口机等设备，实现恶意代码的防护，操作系统安全加固以及外设端口的管控；
[0162]
生产控制大区运维管理系统，部署在电力监控系统，实现用户操作行为的身份鉴别、访问控制和安全审计；
[0163]
生产控制大区统一管理系统，部署在电力监控系统，实现安全防护设备、系统以及主机安全策略的统一管理，安全设备及系统运行日志的统一收集和存储，提高管理效率，降低运行维护成本；
[0164]
生产控制大区工控漏洞扫描平台，部署在电力监控系统，选择合适的时间节点对现有设备进行漏洞扫描掌控，对新入网设备进行提前扫描排除漏洞后入网，减少入网风险。
[0165]
本实施例还提供一种基于枢纽电厂工控系统的组态式安全防护方法，包括：
[0166]
通讯网络安全防护，实施工控系统通信过程和通信数据的安全保证；
[0167]
安全区域边界安全防护，对内部和外部网络行为进行检查或限制，对网络攻击行为进行检测、防止和限制，对网络行为进行分析，对攻击信息进行记录和报警，进行安全审计以及对边界设备进行可信验证；
[0168]
安全计算环境安全防护，对用户进行身份鉴别，定期备份审计记录，对重要节点的入侵行为以及病毒进行检测识别和报警，对应用程序的执行环节进行动态可信验证，对数据传输和存储完整性进行校验以及异地的实时备份；以及
[0169]
增设安全管理中心，使得系统管理员通过命令或操作界面进行系统管理操作并对操作记录进行审计，审计管理员通过命令或操作界面进行安全审计操作并对操作记录进行审计；设置特定管理区域以及安全信息传输路径，从而对分布在网络中的安全设备或安全组件进行管控；对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测；对设备的审计数据进行汇总和分析，管理安全策略、恶意代码以及补丁升级，对网络中的安全事
件进行检测识别和报警。
[0170]
本实施例根据电力监控系统网络的安全现状并结合工控系统运行环境相对稳定，系统更新频率较低的特点，结合gb/t22239-2019《信息安全技术网络安全等级保护基本要求》，采用基于“白名单”机制的工业控制系统网络安全“白环境”解决方案，通过对工控网络流量、工控主机状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，进而构筑工业控制系统的网络安全“白环境”，确保：
[0171]
(1)只有可信任的设备，才允许接入工控网络；
[0172]
(2)只有可信任的消息，才允许在工控网络上传输；
[0173]
(3)只有可信任的软件，才允许被执行。
[0174]
对工控系统网络安全防护措施升级，使工控系统具备实时监测网络安全运行状态、抵御恶意攻击行为、记录系统网络行为等功能，提升工控系统的安全防护能力，保障工控系统的安全稳定运行。同时，各项安全防护措施满足国家及行业的各项政策法规要求，实现工控系统的合法合规的运行。
[0175]
本实施例还提供了一种存储器，存储有多条指令，指令用于实现如实施例的方法。
[0176]
如图7所示，本发明还提供了一种电子设备，包括处理器301和与处理器301连接的存储器302，存储器302存储有多条指令，指令可被处理器加载并执行，以使处理器能够执行如实施例的方法。
[0177]
本实施例选择主机为windows系统的机组组织实施，对方案的运行效果进行评估，对后续机组的实施方案进行进一步优化以达到最优的实施效果。
[0178]
尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。